Intel a officiellement reconnu que le code source de son micrologiciel UEFI propriétaire, développé pour sa douzième génération de processeurs Intel Core, nom de code Alder Lake, a été dérobé et divulgué sur la toile (4chan et Github) :*
« Notre code source propriétaire UEFI semble avoir été divulgué par une tierce partie. Nous ne pensons pas que cela expose de nouvelles vulnérabilités de sécurité car nous ne comptons pas sur l’obscurcissement des informations comme mesure de sécurité. Ce code est couvert par notre programme de primes aux bogues dans le cadre de la campagne Project Circuit Breaker, et nous encourageons tous les chercheurs qui pourraient identifier des vulnérabilités potentielles à les porter à notre attention par le biais de ce programme. Nous nous adressons à la fois aux clients et à la communauté des chercheurs en sécurité pour les tenir informés de cette situation. »
Le projet est massif : 2,8 gigaoctets compressés de code source.
Certains chercheurs en cybersécurité ne partagent pas l’optimisme du fondeur.
Les fichiers incluraient des clés privées de chiffrement de Intel, ce qui serait, si avéré, une catastrophe, puisque l’on ne pourrait plus avoir confiance dans Boot Guard, la technologie qui fournit la racine matérielle de la confiance, et qui est au cœur du démarrage sécurisé de l’UEFI.
Une personne malveillante pourrait certifier une image altérée et malicieuse du micrologiciel.
Elle pourrait analyser le code pour découvrir des vulnérabilités et peut-être même de nouveaux types d’attaques.
Le code ne semble plus disponible sur GitHub.
Les processeurs Alder Lake ont été lancés en novembre 2021. De nouveaux modèles de processeurs ont été ajoutés cette année.
* Traduction: Le Diligent